以合法掩護非法 WastedLocker勒索軟體深層分析

今年5月初首次被揭露WastedLocker,出自惡名昭彰的俄羅斯駭客集團”Evil Group” 之手,短短時間內已經造成多家美國企業均遭受此勒索軟體攻擊,受駭企業中也包含美國財星500大的企業;美

發布日期:2020/07/31 撰文:數聯資安MSSP

由於近期發生的Garmin資安大事件而讓國內注意到WastedLocker這隻勒索軟體的威脅,WastedLocker是在今年5月初首次被揭露,短短時間內已經造成多家美國企業(包含美國財星500大)均遭受此勒索軟體攻擊;WastedLocker勒索軟體來自於惡名昭彰的俄羅斯駭客集團”Evil Group” 之手,美國資安廠商VMware Carbon Black 威脅研究員指出:該組織利用Windows作業系統內建的遠端工具”PsExec” 執行多種惡意活動,例如:關閉資安應用程式/服務,並啟動WastedLocker勒索軟體;WastedLocker會以受駭的目標企業名稱縮寫並加上字串“ wasted”作為加密文件的副檔名,例如,“ Veridian Dynamics”文件可以命名為“ .veridianwasted”,並以該名稱後加上“ _info”, 例如:“ test.doc.veridianwasted_info”,作為加密勒索的贖金記錄。(註:以Garmin事件為例,即可見到被加密的檔案附檔名為「.GARMINWASTED」)

 

WastedLocker勒索軟體贖金記錄樣本快照

圖片來源:VMware Carbon Black

 

WastedLocker運作行為剖析

WastedLocker利用Windows內建系統工具具備可執行權限的條件下,藉由alternate data stream(ADS)原生機制寄生在系統工具上執行加密勒索,大致分為以下流程:

  1. 從Windows System32文件夾中隨機選擇一個二進位檔案(EXE或DLL)複製到目錄“%AppData%”,並將該檔案重新命名為沒有副檔名的檔案名稱。
  2. 在名為“ bin”的文件中建立alternate data stream(ADS),並將勒索軟體複製到其中。
  3. 惡意軟體將執行以下指令,以將其文件屬性從“隱藏”更改為“顯示”,並在執行完成後將其自身刪除。
  1. cmd /c choice /t 10 /d y & attrib -h "C:Users[用戶名]AppDataRoaming{惡意程式}" & del "C:Users[用戶名]AppDataRoaming{惡意程式}"
  2. cmd /c choice /t 10 /d y & attrib -h "C:WindowsSysWOW64{惡意程式}.exe" & del "C:WindowsSysWOW64{惡意程式}.exe"
  3. cmd /c choice /t 10 /d y & attrib -h "C:Users[用戶名]Desktop{惡意程式}.exe" & del "C:Users[用戶名]Desktop{惡意程式}.exe"
  1. 該惡意程式還會將自身複製到System32文件夾,利用takeown.exe和icacls.exe來獲取自身的所有權,並使用以下命令重置存取控制列表(ACL)權限:
  1. C:Windowssystem32icacls.exe C:Windowssystem32{惡意程式}.exe /reset
  2. C:Windowssystem32 akeown.exe /F C:Windowssystem32{惡意程式}.exe
  1. 使用以下指令刪除磁碟區陰影複製(volume shadow copy),以確保無法輕鬆還原所有數據:
  1. vssadmin.exe Delete Shadows /All /Quiet

 

強化威脅可視性,建立新威脅回應機制

 

從WastedLocker 勒索軟體大量利用電腦內建的合法工具執行以達到「合法掩飾非法」,傳統端點防毒機制幾乎無法即時阻攔攻擊,更別說防毒系統無從產生資安事件紀錄提供至資安監控中心進行威脅分析。

所幸,次世代端點安全防護系統(NGAV)則能夠更精準的偵測與分析這些「非常態的行為模式」,提早反應以中斷或隔離,也能避免內部網路橫向擴散的機會。以VMware Carbon Black Cloud Endpoint Standard的防護機制為例,原廠建議的防護政策至少阻止所有類型的惡意軟件執行(已知,可疑和潛在附加軟體(Potentially unwanted program, PUP)),並執行VMware Carbon Black Cloud信譽服務雲掃描機制獲得最大收益。

 

WastedLocker 勒索軟體觸發非常態行為 by Cloud Endpoint Standard

圖片來源:VMware Carbon Black

 

此外,VMware Carbon Black針對該攻擊提供以下策略建議進行阻擋;由於各企業單位對於應用程序的路徑會有差異,因此需於確認後進行調整。

在實務作業上,建議可先於小範圍部屬以進行評估,並且定義權限來減少誤報,隨後再進行大規模的部署配置。

 

對於已經確認或疑似遭受WastedLocker的情況,則需要進一步藉由EDR(Endpoint Detection and Protection)強化可視性,即時記錄並分析端點運行的每一個應用行為,結合最新威脅情資,演化出可『預測』最新型態威脅的『視野』,進而回應該威脅;甚者,企業需要進一步的資安專家介入協助,進行ERS緊急應變處理的進階程序,以精確地獵捕出存在的WastedLocker惡意軟體活動。

 

如下圖WastedLocker Ransomware的攻擊流程圖可清楚發現,除WastedLocker勒索軟體自身功能外,大量運用Windows內建工具與機制執行包含隱匿攻擊及權限提升等非常態手段:

 

 

WastedLocker勒索軟體攻擊流程圖by Cloud Enterprise EDR

圖片來源:VMware Carbon Black

 

儘速提升資安實力,以因應日益嚴峻的資安威脅

 

除具備新世代防護工具外,對於IT資安能力亦需同步提升。國內除政府機關、金融業及重大基礎建設相關產業依據規範或及自身需求等成立專責資安單位外,為數眾多的中小企業多半未配置資安專才,難以應對當前專業駭客組織的威脅。以共享資安專業能力精神成立的資安委外託管服務商(Managed Security Services Provider, MSSP),讓企業以合理的資安投資,立即建立虛擬資安團隊,享有如大型企業般的資安代管能量,即時回應資安威脅。

 

威脅情資指標(IOC)

 

97a1e14988672f7381d54e70785994ed45c2efe3da37e07be251a627f25078a7

SHA256

WastedLocker勒索軟件

5cd04805f9753ca08b82e88c27bf5426d1d356bb26b281885573051048911367

SHA256

WastedLocker勒索軟件

887aac61771af200f7e58bf0d02cb96d9befa11deda4e448f0a700ccb186ce9d

SHA256

WastedLocker勒索軟件

8897db876553f942b2eb4005f8475a232bafb82a50ca7761a621842e894a3d80

SHA256

WastedLocker勒索軟件

bcdac1a2b67e2b47f8129814dca3bcf7d55404757eb09f1c3103f57da3153ec8

SHA256

WastedLocker勒索軟件

e3bf41de3a7edf556d43b6196652aa036e48a602bb3f7c98af9dae992222a8eb

SHA256

WastedLocker勒索軟件

ed0632acb266a4ec3f51dd803c8025bccd654e53c64eb613e203c590897079b3

SHA256

WastedLocker勒索軟件

aa05e7a187ddec2e11fc1c9eafe61408d085b0ab6cd12caeaf531c9dca129772

SHA256

WastedLocker勒索軟件

817704ed2f654929623d9d3e4b71ce0082ef4eadb3fe2d80c726e874dc6952a3

SHA256

WastedLocker勒索軟件

023f1ef0cc2c1e055b05ae1ff5bcc6bf2421003dea227aeb6d70c8a525fa3b82

SHA256

WastedLocker勒索軟件

85f391ecd480711401f6da2f371156f995dd5cff7580f37791e79e62b91fd9eb

SHA256

WastedLocker勒索軟件

bceb4f44d73f1a784e0af50e233eb1b4

MD5

WastedLocker勒索軟件

572fea5f025df78f2d316216fbeee52e

MD5

WastedLocker勒索軟件

6b20ef8fb494cc6e455220356de298d0

MD5

WastedLocker勒索軟件

ecb00e9a61f99a7d4c90723294986bbc

MD5

WastedLocker勒索軟件

0ed2ca539a01cdb86c88a9a1604b2005

MD5

WastedLocker勒索軟件

f67ea8e471e827e4b7b65b65647d1d46

MD5

WastedLocker勒索軟件

edbf07eaca4fff5f2d3f045567a9dc6f

MD5

WastedLocker勒索軟件

13e623cdfb75d99ea7e04c6157ca8ae6

MD5

WastedLocker勒索軟件

58ffddb4b62cc757a99d35174a3d084e

MD5

WastedLocker勒索軟件

fb95561e8ed7289d015e945ad470e6db

MD5

 

 

參考資料來源

[威脅研究文件] Carbon Black- WastedLocker勒索軟件威脅分析

聯繫數聯資安,我們將依據您的需求給予最佳方案
我可以協助您 請勾選需要諮詢的產品
我可以協助您 請填聯絡資料,專人將與您聯繫
聯絡人姓名
電子郵件
聯絡電話
公司名稱
產業別
我可以協助您 請填送出資料,專人將與您聯繫
驗證碼 取得驗證碼